内容简介:今天给大家介绍的是一款名叫EvilClippy的开源工具,EvilClippy是一款专用于创建恶意MS Office测试文档的跨平台安全工具,它可以隐藏VBA宏和VBA代码,并且可以对宏代码进行混淆处理以增加宏分析工具的分析难度。当前版本的EvilClippy支持在Linux、macOS和Windows平台上运行,实现了跨平台特性。
*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。
今天给大家介绍的是一款名叫EvilClippy的开源工具,EvilClippy是一款专用于创建恶意MS Office测试文档的跨平台安全工具,它可以隐藏VBA宏和VBA代码,并且可以对宏代码进行混淆处理以增加宏分析 工具 的分析难度。当前版本的EvilClippy支持在 Linux 、macOS和Windows平台上运行,实现了跨平台特性。
功能介绍
1、 在GUI编辑器中隐藏VBA宏;
2、 混淆安全分析工具;
3、 VBA Stomping;
4、 引入VBA P-Code伪编码;
5、 设置远程VBA项目锁定保护机制;
6、 通过HTTP提供VBA Stomped模板;
工具效果
目前,该工具生成的默认Cobalt Strike宏可以绕过所有主流的反病毒产品以及宏分析工具。
技术分析
EvilClippy使用了 OpenMCDF库 来修改MS Office的CFBF文件,并利用了 MS-OVBA规范 和特性。该工具重用了部分 Kavod.VBA.Compression 代码来实现压缩算法,并且使用了Mono C#编译器实现了在Linux、macOS和Windows平台上的完美运行。
工具安装
注:跨平台编译代码可以在该项目的releases页面下获取。
macOS和Linux
确保安装了Mono,然后运行下列命令:
mcs/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs
然后运行EvilClippy:
mono EvilClippy.exe –h
Windows
确保安装了Visual Studio,然后在Visual Studio开发者命令行窗口中输入下列命令:
csc/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs
然后在命令行中运行EvilClippy:
EvilClippy.exe –h
工具使用
显示帮助信息
EvilClippy.exe –h
在GUI中隐藏宏
EvilClippy.exe -g macrofile.doc
VBA Stomp(P-Code伪编码)
EvilClippy.exe -s fakecode.vba macrofile.doc
为VBA Stomping设置目标Office版本信息
EvilClippy.exe -s fakecode.vba -t 2016x86 macrofile.doc
设置随机模块名(混淆安全分析工具)
EvilClippy.exe -r macrofile.doc
通过HTTP提供VBA Stomp模板;
EvilClippy.exe -s fakecode.vba -w 8080 macrofile.dot
设置远程VBA项目锁定保护
EvilClippy.exe -u macrofile.doc
解除保护:
EvilClippy.exe -uu macrofile.doc
项目地址
EvilClippy:【 GitHub传送门 】
参考资料
1、 https://outflank.nl/blog/2018/10/28/recordings-of-our-derbycon-and-brucon-presentations/
3、 https://github.com/bontchev/pcodedmp
* 参考来源: outflanknl ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- Rietspoof恶意软件释放多个恶意有效载荷
- 使用开源代码拼凑出恶意代码:Frankenstein恶意活动分析
- Office 365团队:针对使用恶意InPage文档的恶意活动分析
- 使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析
- 全新的恶意攻击技术已出现:针对日本用户的复杂多阶段PowerShell恶意脚本分析
- React 技术揭秘
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。